Schrems II

EuGH C-311/18 — Privacy Shield für ungültig erklärt, SCC + TIA Pflicht

· Kategorie: DSGVO · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Schrems II (EuGH C-311/18 vom 16.07.2020) hat das EU-US Privacy Shield für ungültig erklärt. Als Folge dürfen Datentransfers in Drittländer (außerhalb EU/EWR) nur mit zusätzlichen Garantien erfolgen — typisch Standardvertragsklauseln (SCC 2021/914) plus Transfer Impact Assessment (TIA). Das Data Privacy Framework (DPF, in Kraft 07/2023) bietet ein neues Privacy-Shield-Äquivalent für US-Transfers.

Was ist Schrems II?

Vier Hauptpfeiler nach Schrems II:

  1. SCC 2021/914 als Standard-Garantie für Drittlandtransfer
  2. Transfer Impact Assessment (TIA): Bewertung des Drittlands-Niveaus + ggf. zusätzliche Maßnahmen
  3. Data Privacy Framework (DPF): Angemessenheitsbeschluss für US-Unternehmen, die zertifiziert sind (in Kraft 07/2023, EuG T-553/23 09/2025 bestätigt)
  4. Binding Corporate Rules (BCR) für konzerninterne Transfers

Praxisbeispiel

Praxisfall: Microsoft 365 mit US-Tochter MS Inc. als Subunternehmer.

Häufig gestellte Fragen

Brauche ich SCC oder reicht DPF?
Wenn US-Unternehmen DPF-zertifiziert ist: DPF reicht (kein SCC nötig). Wenn nicht zertifiziert: SCC + TIA Pflicht. Best Practice: dual track wegen DPF-Stabilität-Unsicherheit.
Wie führe ich ein TIA durch?
5 Schritte: (1) Drittland identifizieren, (2) Schutzniveau prüfen (Behörden-Zugriffsrechte, Rechtsweg), (3) zusätzliche Maßnahmen (Verschlüsselung, Pseudonymisierung), (4) Dokumentation, (5) regelmäßige Review.
Was tun, wenn DPF wieder gekippt wird?
Schrems III ist anhängig. Strategie: SCC als Backup-Garantie bereithalten, Verschlüsselung at-rest mit EU-Schlüsseln, Hosting in EU bevorzugen wo möglich.

Siehe auch